Microsoft Sentinel skemareference til ASIM Agent-hændelsesnormalisering

Skemaet Microsoft Sentinel Agent Event normalization repræsenterer hændelser, der er knyttet til aktiviteter og telemetri for AI-agenter, der arbejder i hele virksomhedsmiljøer. Disse hændelser registrerer hele spektret af agentinteraktioner, herunder modelaktiveringer, værktøjsforbrug, tokenforbrug, tankeprocesser og kommunikation mellem kilde- og målagenter. Disse aktiviteter genereres af en lang række AI-agentplatforme og -strukturer, der hver især producerer telemetri i sit eget format.

Alle AI-agentplatforme logfører agenthændelser som en del af dens driftsmæssige telemetri. Normalisering af disse hændelser ved hjælp af ASIM-skemaet gør det muligt for sikkerhedsanalytikere at korrelere agentfunktioner mellem platforme, registrere unormale mønstre og undersøge hændelser uden at skulle lære det beskyttede format for hver kilde at kende.

Du kan få flere oplysninger om normalisering i Microsoft Sentinel under Normalisering og ASIM (Advanced Security Information Model).

Parsere

Udrulning og brug af agenthændelsesparsere

Udrul ASIM Agent Event-fortolkningerne fra gitHub-lageret Microsoft Sentinel. Hvis du vil forespørge på alle agenthændelseskilder, skal du bruge den forenende parser _Im_AgentEvent som tabelnavnet i forespørgslen.

Du kan finde flere oplysninger om brug af ASIM-fortolkere i oversigten over ASIM-fortolkninger.

Tilføj dine egne normaliserede fortolkere

Når du implementerer brugerdefinerede fortolkninger for agenthændelsesoplysningsmodellen, skal du navngive dine KQL-funktioner ved hjælp af følgende syntaks:

ASimAgentEvent<vendor><Product> for almindelige fortolkninger
vimAgentEvent<vendor><Product> for parameteriserede fortolkninger

Hvis du vil føje brugerdefinerede fortolkninger til agenthændelsens forenende parser, skal du se Administration af ASIM-fortolkere.

Filtreringsparserparametre

Agenthændelsesparserne understøtter filtreringsparametre. Selvom disse parametre er valgfrie, kan de forbedre ydeevnen af din forespørgsel.

Følgende filtreringsparametre er tilgængelige:

Navn	Type	Beskrivelse
Starttidspunkt	Datetime	Filtrer kun hændelser, der kørte på eller efter dette tidspunkt. Denne parameter bruger feltet `TimeGenerated` som tidsdesigner for hændelsen.
slutklokkeslæt	Datetime	Filtrer kun hændelser, der er færdige med at køre på eller før dette tidspunkt. Denne parameter bruger feltet `TimeGenerated` som tidsdesigner for hændelsen.
agentid_has_any	Dynamisk	Filtrer kun hændelser, der har nogen af agent-id'erne, som repræsenteret i feltet SrcAgentId, TargetAgentId eller PlatformTargetAgentId .
agentname_has_any	Dynamisk	Filtrer kun hændelser, der har et af agentnavnene, som vist i feltet SrcAgentName, TargetAgentName eller PlatformTargetAgentName .
username_has_any	Dynamisk	Filtrer kun hændelser, der har et af de angivne brugernavne, som vist i feltet AgentBrugernavn .

Nogle parametre kan acceptere begge lister over værdier af typen dynamic eller en enkelt strengværdi. Hvis du vil overføre en konstantliste til parametre, der forventer en dynamisk værdi, skal du eksplicit bruge en dynamisk konstant. For eksempel: dynamic(['192.168.','10.'])

Hvis du f.eks. kun vil filtrere agenthændelser med agentnavnene M365Planner fra den sidste dag, skal du bruge:

_Im_AgentEvent (agentname_has_any=dynamic(['M365Planner']), starttime = ago(1d), endtime=now())

Skemadetaljer

Almindelige ASIM-felter

Vigtigt!

Felter, der er fælles for alle skemaer, er beskrevet detaljeret i artiklen Almindelige ASIM-felter .

Almindelige felter med specifikke retningslinjer

Følgende liste omtaler felter, der har specifikke retningslinjer for agenthændelser:

Feltet	Klasse	Type	Beskrivelse
EventOriginalType	Valgfrit	String	Beskriver den handling, der kaldes af den agent, der startede hændelsen. Da dette er et område under udvikling, hvor agenter kan udføre et stort antal handlinger, har vi ikke gennemtvunget et sæt optællinger for EventType.
EventSchema	Obligatorisk	Optalt	Navnet på skemaet, der er dokumenteret her, er `AgentEvent`.
EventSchemaVersion	Obligatorisk	SchemaVersion (streng)	Versionen af skemaet. Den version af skemaet, der er dokumenteret her, er `0.1.0`.

Alle almindelige felter

Felter i denne tabel er fælles for alle ASIM-skemaer. De retningslinjer, der er angivet i dette dokument, tilsidesætter de generelle retningslinjer for hvert felt. Et felt kan f.eks. være valgfrit generelt, men obligatorisk for et bestemt skema. Du kan få flere oplysninger om hvert felt i artiklen Almindelige ASIM-felter .

Klasse	Felter
Obligatorisk	- EventCount - EventStartTime - EventEndTime - EventProduct - EventVendor - EventSchema - EventSchemaVersion
Anbefalede	- Hændelses-UID
Valgfrit	- EventOriginalUid - EventOriginalType - EventOriginalResultDetails - AdditionalFields

Oplysninger om kildeagent

Feltet	Klasse	Type	Beskrivelse
SrcAgentId	Anbefalede	String	Det entydige id for kildeagenten.
SrcAgentName	Anbefalede	String	Navnet på kildeagenten.
SrcAgentOriginalType	Valgfrit	String	Kildeagentens oprindelige type.
SrcAgentDescription	Valgfrit	String	En beskrivelse af kildeagenten.
SrcAgentBlueprintId	Valgfrit	String	Kildeagentens kursus-id.
SrcIpAddr	Valgfrit	String	Kildens IP-adresse.
SrcFQDN	Valgfrit	String	Kildens fuldt kvalificerede domænenavn.
SrcPortNumber	Valgfrit	Int	Kildens portnummer.

Destinationsagentfelter

Feltet	Klasse	Type	Beskrivelse
TargetAgentId	Valgfrit	String	Det entydige id for destinationsagenten.
TargetAgentName	Valgfrit	String	Navnet på destinationsagenten.
TargetAgentUsername	Valgfrit	String	Brugernavnet for destinationsagenten.
TargetAgentUserId	Valgfrit	String	Destinationsagentens bruger-id.
TargetAgentOriginalType	Valgfrit	String	Destinationsagentens oprindelige type.
TargetAgentDescription	Valgfrit	String	En beskrivelse af destinationsagenten.
TargetAgentBlueprintId	Valgfrit	String	Id'et for kursusplanen for destinationsagenten.

Destinationsagentfelter for platform

Feltet	Klasse	Type	Beskrivelse
PlatformTargetAgentId	Valgfrit	String	Det entydige id for platformmålagenten.
PlatformTargetAgentName	Valgfrit	String	Navnet på destinationsagenten for platformen.
PlatformTargetAgentDescription	Valgfrit	String	En beskrivelse af destinationsagenten for platformen.
PlatformTargetOriginalAgentType	Valgfrit	String	Den oprindelige type af platformmålagenten.

Agentfelter

Feltet	Klasse	Type	Beskrivelse
AgentUserId	Valgfrit	String	En computerlæsbar, alfanumerisk, entydig repræsentation af agenten. Du kan finde flere oplysninger og alternative felter til andre id'er i Objektet Bruger. Eksempel: `S-1-12-1-4141952679-1282074057-627758481-2916039507`
AgentUserIdType	Valgfrit	String	Typen af det id, der er gemt i feltet AgentBruger-id . Du kan få flere oplysninger og en liste over tilladte værdier i UserIdType i artiklen Skemaoversigt.
AgentUserScope	Valgfrit	String	Området, f.eks. Microsoft Entra domænenavn, hvor AgentBruger-id og AgentBrugernavn er defineret. Du kan få flere oplysninger og en liste over tilladte værdier i UserScope i artiklen Skemaoversigt.
AgentUserScopeId	Valgfrit	String	Område-id'et, f.eks. Microsoft Entra mappe-id, hvor AgentBruger-id og AgentBrugernavn er defineret. Du kan få flere oplysninger og en liste over tilladte værdier i UserScopeId i artiklen Skemaoversigt.
AgentBrugernavn	Valgfrit	Brugernavn (streng)	Agentens brugernavn, herunder domæneoplysninger, når de er tilgængelige. Du kan få flere oplysninger under Brugerens objekt. Eksempel: `AlbertE`
AgentUsernameType	Valgfrit	String	Angiver den type brugernavn, der er gemt i feltet AgentBrugernavn . Du kan få flere oplysninger og en liste over tilladte værdier i UsernameType i artiklen Skemaoversigt. Eksempel: `Windows`
ActingAppId	Valgfrit	String	Id'et for det program, der startede den rapporterede aktivitet, herunder en proces, en browser eller en tjeneste. For eksempel: `0x12ae8`
ActingAppName	Valgfrit	String	Navnet på det program, der startede den rapporterede aktivitet, herunder en tjeneste, en URL-adresse eller et SaaS-program. For eksempel: `C:\Windows\System32\svchost.exe`
ActingAppType	Valgfrit	AppType	Den type ansøgning, der skal indgives. Du kan få flere oplysninger og en tilladt liste over værdier i AppType i artiklen Skemaoversigt.
ActingOriginalAppType	Valgfrit	String	Den type program, der startede aktiviteten som rapporteret af rapporteringsenheden.

Modelfelter

Feltet	Klasse	Type	Beskrivelse
ModelProviderName	Valgfrit	String	Navnet på modeludbyderen.
Modelnavn	Valgfrit	String	Navnet på modellen.

Tokenfelter

Feltet	Klasse	Type	Beskrivelse
InputTokensUsed	Valgfrit	Lang	Antallet af anvendte inputtokens.
OutputTokensUsed	Valgfrit	Lang	Antallet af anvendte outputtokens.

Værktøjsfelter

Feltet	Klasse	Type	Beskrivelse
Værktøjs-id	Valgfrit	String	Værktøjets entydige id.
Værktøjsnavn	Valgfrit	String	Navnet på værktøjet.
Værktøjsbeskrivelse	Valgfrit	String	En beskrivelse af værktøjet.
ToolOriginalType	Valgfrit	String	Den oprindelige type af værktøjet.

Hændelsesspecifikke felter

Feltet	Klasse	Type	Beskrivelse
EventSessionId	Valgfrit	String	Det entydige id for hændelsessessionen.
EventSessionName	Valgfrit	String	Navnet på hændelsessessionen.
EventType	Valgfrit	String	Hændelsens type.
EventOriginalType	Valgfrit	String	Den oprindelige type af hændelsen, som rapporteret af kilden.
EventRequestId	Valgfrit	String	Det entydige id for hændelsesanmodningen.
EventRequestTemperature	Valgfrit	Dobbelt	Temperaturparameteren for hændelsesanmodningen.
EventRequestTopP	Valgfrit	Dobbelt	Parameteren top p for hændelsesanmodningen.
EventRequestPresencePenalty	Valgfrit	Dobbelt	Parameteren for straf for tilstedeværelse for hændelsesanmodningen.
EventRequestFrequencyPenalty	Valgfrit	Dobbelt	Parameteren for hyppighedsstraf for hændelsesanmodningen.
EventRequestSeed	Valgfrit	Lang	Basisparameteren for hændelsesanmodningen.
EventResponseId	Valgfrit	String	Det entydige id for hændelsessvaret.
EventOriginalRequestDetails	Valgfrit	String	De oprindelige anmodningsoplysninger, som blev rapporteret af kilden.
EventOriginalResultDetails	Valgfrit	String	De oprindelige resultatoplysninger, som blev rapporteret af kilden.
EventErrorDetails	Valgfrit	String	Oplysninger om den fejl, der er knyttet til hændelsen.
EventOriginalErrorType	Valgfrit	String	Den oprindelige fejltype, som blev rapporteret af kilden.
EventThoughtProcessDetails	Valgfrit	String	Detaljer om den tankeproces, der er knyttet til hændelsen.
EventThoughtProcessId	Valgfrit	String	Det entydige id for tankeprocessen.
EventFinishReasons	Valgfrit	Dynamisk	Årsagerne til, at hændelsen blev afsluttet.
EventOutputType	Valgfrit	String	Hændelsesoutputtets type.

Feedback

Var denne side nyttig?

Last updated on 2026-05-26